專利名稱:安全防御方法����、裝置與系統的制作方法
技術領域:
本發(fā)明涉及計算機技術領域�����,特別是涉及一種安全防御方法、裝置與系統����。
背景技術:
主動防御是基于程序行為自主分析判斷,以防御惡意程序的實時防護技術�。惡意程序是一個概括性的術語,指任何故意創(chuàng)建用來執(zhí)行未經授權并通常是有害行為的軟件程序��。計算機病毒����、后門程序���、鍵盤記錄器����、密碼盜取者����、Word和Excel宏病毒、引導區(qū)病毒����、 腳本病毒�、木馬��、犯罪軟件���、間諜軟件和廣告軟件等等�,都可以稱之為惡意程序�����。
主動防御在進行惡意程序防御時�����,不以文件特征值作為判斷惡意程序的依據��,而是從最原始的定義出發(fā)����,直接將程序的行為作為判斷惡意程序的依據。其中衍生出在本地使用特征庫�、在本地設置行為閾值、以及在本地啟發(fā)式殺毒的方式來判別�、攔截惡意程序的行為,從而一定程度上達到保護用戶設備的目的��。
以HIPS(Host_based Intrusion Prevention System,基于主機的入侵防御系統) 為例,HIPS是一種能監(jiān)控計算機中文件的運行和文件運行了其他的文件以及文件對注冊表的修改��,并發(fā)出報告請求允許運行或修改的主動防御軟件��。HIPS包括AD (Application Defend,應用程序防御體系)�����、RD (RegistryDefend,注冊表防御體系)��、和FD (File Defend, 文件防御體系)����,通過可定制的規(guī)則對本地的運行程序�、注冊表的讀寫操作、以及文件讀寫操作進行判斷并確定允許或禁止��。其中���,RD用于對常見的系統敏感注冊表項進行監(jiān)視�����,FD 用于監(jiān)視系統敏感目錄的文件(如HOSTS)操作����,如修改刪除系統目錄里的任何文件或創(chuàng)建新文件等,也可用來發(fā)現被驅動木馬隱藏的文件本體�。
然而,隨著計算機應用得越來越廣泛�����,未知程序和文件也越來越多�,現有的HIPS 在進行主動防御時,常常無法對注冊表和/或文件的改動進行精確地防御��,以致漏報或誤報的情況時有發(fā)生�。發(fā)明內容
鑒于上述現有的安全防御方法無法對注冊表和/或文件的改動進行精確地防御, 以致漏報或誤報的情況時有發(fā)生的問題����,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的安全防御方法、裝置與系統���。
依據本發(fā)明的一個方面�����,提供了一種安全防御方法��,包括主動防御系統確定當前程序寫入的注冊表目標項不存在�;獲取目標項的數據,從中解析出當前程序待寫入的目標路徑����;將目標路徑加入文件防御規(guī)則,使用文件防御規(guī)則在當前程序生成文件時進行文件防御�����。
可選地�����,安全防御方法還包括主動防御系統對開機啟動程序進行掃描時��,獲取注冊表中開機啟動程序的注冊表項��,從中解析出開機啟動程序的路徑�����;將開機啟動程序的路徑加入文件防御規(guī)則�,使用文件防御規(guī)則在系統開機啟動時進行文件防御�。
可選地�����,使用文件防御規(guī)則在當前程序生成文件時進行文件防御的步驟包括主動防御系統在當前程序生成文件時��,獲取生成的文件的文件路徑��;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標路徑是否匹配���;若匹配,則獲取生成的文件的文件特征值��,將生成的文件的文件特征值發(fā)送到服務器進行程序安全性判定���;根據服務器的返回結果對當前程序進行文件防御處理���。
可選地,使用文件防御規(guī)則在當前程序生成文件時進行文件防御的步驟包括主動防御系統在當前程序生成文件時�����,獲取生成的文件的文件路徑��;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標路徑是否匹配;若匹配�,則獲取生成的文件,判斷生成的文件是否在目標白名單中���;若生成的文件在目標白名單中����,且生成的文件的來源在來源白名單中�����,則將生成的文件放行�����。
可選地��,使用文件防御規(guī)則在當前程序生成文件時進行文件防御的步驟包括主動防御系統在當前程序生成文件時��,獲取生成的文件的文件路徑��;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標路徑是否匹配��;若匹配�����,則獲取生成的文件�����,判斷生成的文件是否符合預置的臨界文件規(guī)則�����,其中����,臨界文件規(guī)則用于指示生成的文件為除白名單文件、 黑名單文件和可疑文件之外的文件�;若符合,則判斷生成的文件的來源是否在來源白名單中�;若是,則將生成的件放行����;若否,則進行報警提示�����。
可選地,安全防御方法還包括主動防御系統確定當前程序寫入的注冊表目標項是否符合注冊表防御規(guī)則����;若是,則使用注冊表防御規(guī)則進行注冊表防御����,若否,則執(zhí)行主動防御系統確定當前程序寫入的注冊表目標項不存在的步驟��。
根據本發(fā)明的另一方面���,提供了一種安全防御裝置���,用于主動防御系統進行安全防御,包括確定模塊���,用于主動防御系統確定當前程序寫入的注冊表目標項不存在����;解析模塊�,用于獲取目標項的數據,從中解析出當前程序待寫入的目標路徑����;文件防御模塊,用于將目標路徑加入文件防御規(guī)則����,使用文件防御規(guī)則在當前程序生成文件時進行文件防御。
可選地��,解析模塊�����,還用于對開機啟動程序進行掃描時��,獲取注冊表中開機啟動程序的注冊表項�����,從中解析出開機啟動程序的路徑����;文件防御模塊,還用于將開機啟動程序的路徑加入文件防御規(guī)則����,使用文件防御規(guī)則在系統開機啟動時進行文件防御����。
可選地���,文件防御模塊�,用于將目標路徑加入文件防御規(guī)則�����,使主動防御系統在當前程序生成文件時����,獲取生成的文件的文件路徑;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標路徑是否匹配�����;若匹配�,則獲取生成的文件的文件特征值,將生成的文件的文件特征值發(fā)送到服務器進行程序安全性判定�;根據服務器的返回結果對當前程序進行文件防御處理。
可選地�,文件防御模塊,用于將目標路徑加入文件防御規(guī)則���,使主動防御系統在當前程序生成文件時���,獲取生成的文件的文件路徑��;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標路徑是否匹配;若匹配�,則獲取生成的文件,判斷生成的文件是否在目標白名單中�;若生成的文件在目標白名單中,且生成的文件的來源在來源白名單中����,則將生成的文件放行。
可選地����,文件防御模塊,用于將目標路徑加入文件防御規(guī)則���,使主動防御系統在當前程序生成文件時���,獲取生成的文件的文件路徑;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標路徑是否匹配�;若匹配����,則獲取生成的文件����,判斷生成的文件是否符合預置的5臨界文件規(guī)則,其中���,臨界文件規(guī)則用于指示生成的文件為除白名單文件��、黑名單文件和可疑文件之外的文件���;若符合,則判斷生成的文件的來源是否在來源白名單中���;若是����,則將生成的文件放行�����;若否,則進行報警提示���。
可選地�����,安全防御裝置還包括注冊表防御模塊��,用于主動防御系統確定當前程序寫入的注冊表目標項是否符合注冊表防御規(guī)則�����;若是,則使用注冊表防御規(guī)則進行注冊表防御��,若否�����,則進入確定模塊執(zhí)行����。
根據本發(fā)明的另一方面,提供了一種安全防御系統��,包括客戶端和云安全服務器��;其中,客戶端包括確定模塊��,用于主動防御系統確定當前程序寫入的注冊表目標項不存在�����;解析模塊�����,用于獲取目標項的數據���,從中解析出當前程序待寫入的目標路徑�;文件防御模塊���,用于將目標路徑加入文件防御規(guī)則����,使主動防御系統在當前程序生成文件時�����,獲取生成的文件的文件路徑;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標路徑是否匹配��;若匹配����,則獲取生成的文件,將生成的文件發(fā)送到云安全服務器進行程序安全性判定����; 以及,接收并根據云安全服務器的返回結果對當前程序進行文件防御處理��;云安全服務器�����, 用于接收文件防御模塊發(fā)送的生成的文件����,根據設定的規(guī)則對生成的文件進行安全性判定�,并向客戶端返回判定結果。
現有的安全防御方案中��,當程序寫入的注冊表目標項��,如寫入的目標路徑不存在時,主動防御系統不會攔截�,因為攔截容易造成誤報,但是不攔截又有可能會產生漏報�����。而根據本發(fā)明的安全防御方案�,當程序寫入的注冊表目標項不存在時,主動防御系統不會報警����,但會將該目標項中的目標路徑加入文件防御規(guī)則,在生成文件時進行文件防御��。通過本發(fā)明����,對RD中取決于目標的規(guī)則,如果目標不存在��,那么使用FD防護規(guī)則�,在文件生成的時候攔截,解決了現有的安全防御方法無法對注冊表和/或文件的改動進行精確地防御��,以致漏報或誤報的情況時有發(fā)生的問題���,達到RD和FD聯合防御��,減少漏報或誤報的效果�����。
上述說明僅是本發(fā)明技術方案的概述�����,為了能夠更清楚了解本發(fā)明的技術手段����, 而可依照說明書的內容予以實施,并且為了讓本發(fā)明的上述和其它目的����、特征和優(yōu)點能夠更明顯易懂,以下特舉本發(fā)明的具體實施方式
���。
通過閱讀下文優(yōu)選實施方式的詳細描述,各種其他的優(yōu)點和益處對于本領域普通技術人員將變得清楚明了�����。附圖僅用于示出優(yōu)選實施方式的目的,而并不認為是對本發(fā)明的限制��。而且在整個附圖中���,用相同的參考符號表示相同的部件����。在附圖中
圖I是根據本發(fā)明實施例一的一種安全防御方法的步驟流程圖2是根據本發(fā)明實施例二的一種安全防御方法的步驟流程圖3是根據本發(fā)明實施例三的一種安全防御方法的步驟流程圖4是根據本發(fā)明實施例四的一種安全防御裝置的結構框圖5是根據本發(fā)明實施例五的一種安全防御系統的結構框圖��。
具體實施方式
下面將參照附圖更詳細地描述本公開的示例性實施例�。雖然附圖中顯示了本公開的示例性實施例,然而應當理解�,可以以各種形式實現本公開而不應被這里闡述的實施例所限制。相反�,提供這些實施例是為了能夠更透徹地理解本公開,并且能夠將本公開的范圍完整的傳達給本領域的技術人員��。
實施例一
參照圖1�,示出了根據本發(fā)明實施例一的一種安全防御方法的步驟流程圖。
本實施例的安全防御方法包括以下步驟
步驟S102 :主動防御系統確定當前程序寫入的注冊表目標項不存在����。
當程序寫注冊表時,主動防御系統會啟動RD�。RD提供了對常見的系統敏感注冊表項進行監(jiān)視���,如啟動項、服務驅動項�、系統策略項、瀏覽器設置或網絡設置(包括 NameServer)項的添加修改�。當有程序進行修改表項的操作時,目前默認都被RD視為敏感行為而攔截掛起�����,這種攔截掛起造成了現有主動防御系統的漏報或者誤報�����。而本實施例中�����, 當程序寫注冊表項時����,若主動防御系統確定程序寫入的注冊表目標項不存在,不會進行攔截掛起�,而是將待寫入的目標路徑加入FD規(guī)則�,等待后續(xù)的FD�。例如���,注冊表中不存在程序寫入的注冊表目標項���,如程序寫入的目標路徑不是系統中當前已經存在的現有路徑而是新路徑,則主動防御系統不會進行攔截掛起�����,而是將待寫入的目標路徑加入FD規(guī)則����,等待后續(xù)的FD。
步驟S104:主動防御系統獲取目標項的數據����,從中解析出當前程序待寫入的目標路徑。
步驟S106 :主動防御系統將目標路徑加入文件防御規(guī)則����,使用文件防御規(guī)則在當前程序生成文件時進行文件防御。
使用文件防御規(guī)則進行文件防御�;文件防御體系(FD),用于監(jiān)視系統敏感目錄的文件(如HOSTS)操作����,如修改刪除系統目錄里的任何文件或創(chuàng)建新文件等����,也可用來發(fā)現被驅動木馬隱藏的文件本體��。實現文件防御體系的要點同樣也是攔截系統底層函數如 NtOpenFile等���,HIPS默認對系統敏感目錄進行監(jiān)控保護��,一旦發(fā)現異常讀寫�����,則把相關操作掛起����,并根據一定的匹配模式決定放行�����、阻止或則彈框提示用戶��。如果程序寫入的注冊表目標項,如寫入的目標路徑不存在時��,主動防御系統不會攔截����,因為攔截容易造成誤報����,但是不攔截又有可能會產生漏報。而根據本發(fā)明的安全防御方案���,當程序寫入的注冊表目標項不存在時��,主動防御系統不會報警�,但會將該目標項中的目標路徑加入文件防御規(guī)則����,在生成文件時進行文件防御。通過本實施例�����,對RD中取決于目標的規(guī)則���,如果目標不存在�,那么使用FD防護規(guī)則,在文件生成的時候攔截��,解決了現有的安全防御方法無法對注冊表和 /或文件的改動進行精確地防御��,以致漏報和誤報的情況時有發(fā)生的問題���,達到RD和FD聯合防御�����,減少漏報和誤報的效果��。
實施例二
參照圖2����,示出了根據本發(fā)明實施例二的一種安全防御方法的步驟流程圖�����。
本實施例的安全防御方法包括以下步驟
步驟S202 :當前程序向注冊表中寫入注冊表目標項��。
步驟S204:主動防御系統確定當前程序寫入的注冊表目標項是否符合注冊表防御規(guī)則���;若是��,則進行注冊表防御��,結束本次流程�����;若否���,則執(zhí)行步驟S206。
注冊表防御提供了對常見的系統敏感注冊表項進行監(jiān)視����,如對啟動項、服務驅動項��、系統策略項���、瀏覽器設置或網絡設置項的添加修改的監(jiān)視�。一般來說����,這些表項會被加入注冊表防御規(guī)則,當這些表項有改動時,主動防御系統判斷該改動是否被允許����,若允許則可放過該改動,若不允許則可進行報警等�。例如,要對瀏覽器進行劫持和主頁修改就得通過修改注冊表中的瀏覽器設置項等��,而這些操作默認符合注冊表防御規(guī)則���,被主動防御系統視為敏感行為而攔截掛起����,并根據一定的匹配模式決定放行����、阻止或則彈框提示用戶。由于注冊表防御攔截了系統核心層導出的API函數�,無論是木馬還是其他程序對用戶程序進行的操作都被監(jiān)控,從而實現了真正有效地監(jiān)視和攔截�。
當當前程序寫入的注冊表目標項不在注冊表防御規(guī)則的防御中,則執(zhí)行步驟 S206�。
步驟S206 :主動防御系統確定當前程序寫入的注冊表目標項不存在。
如����,待寫入的目標路徑非當前已有路徑���。
步驟S208 :主動防御系統獲取目標項的數據,從中解析出當前程序待寫入的目標路徑�。
步驟S210 :主動防御系統將目標路徑加入文件防御規(guī)則。
優(yōu)選地����,本實施例中,主動防御系統不僅將新寫入的當前程序的目標路徑加入文件防御規(guī)則中���,并且,主動防御系統還獲取注冊表中開機啟動程序的注冊表項�����,從中解析出開機啟動程序的路徑����;將開機啟動程序的路徑加入文件防御規(guī)則,并使用文件防御規(guī)則在系統開機啟動時進行文件防御�����。通過將開機啟動程序的路徑加入文件防御規(guī)則,在系統開機啟動的時候也會對注冊表中可以啟動的項目進行掃描和FD����,防止木馬在主動防御系統開啟之如啟動關破王防。
步驟S212 :主動防御系統使用文件防御規(guī)則在當前程序生成文件時進行文件防御���。
當前程序生成的文件可以是當前程序按照指令安裝的新文件����,或對原文件進行修改后生成的文件等��,或者為其它形式�����。
優(yōu)選地���,一種使用文件防御規(guī)則在當前程序生成文件時進行文件防御的方式是 主動防御系統在當前程序生成文件時�����,獲取生成的文件的文件路徑����;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標路徑是否匹配;若匹配��,則獲取生成的文件����,將生成的文件發(fā)送到服務器進行程序安全性判定(如判定生成的文件是否為惡意程序);根據服務器的返回結果對當前程序進行文件防御處理��。優(yōu)選地�����,主動防御系統獲取生成的文件的文件特征值�,將生成的文件的文件特征值發(fā)送到服務器進行程序安全性判定。其中��,服務器端存儲有相應的文件判定規(guī)則��,預先通過對文件特征值進行分析將文件等級分類���,進而根據文件的等級分類判定文件是否是惡意程序等。若經過服務器端判定���,確定生成的文件為白文件(即安全的文件)�����,則可以放行�����;若確定生成的文件為黑文件(即惡意程序文件)�,則進行攔截或者提示報警等處理;若不能確定文件的性質��,則提示用戶���,由用戶進行相應的處理�����,如決定放行或禁止等���。若生成的文件的文件路徑與文件防御規(guī)則中的目標路徑不匹配,則可以根據設置的其他規(guī)則進行處理���,如放行�、提示��、或者使用AD規(guī)則進行防御等等。
例如��,將文件的文件特征值如文件哈希值發(fā)送到服務器進行查詢����,服務器中預先保存有根據文件哈希值劃分的文件等級,根據查詢結果確定文件的等級��。另外��,對于有白簽名的文件��,服務器會按白文件處理����。服務器的數據庫保存有白名單,該白名單可以包括目標白名單和來源白名單��,以便于對生成的文件及其來源進行安全性判定����,其中�,目標白名單和來源白名單也可以統一為同一個白名單來進行安全性判定,也可以劃分為不同的白名單����, 保存在服務器中數據庫的不同的位置�����。
其中�,文件哈希值可以是經由MD5 (Message-Digest Algorithm5,信息-摘要算法)運算得出的MD5驗證碼,或SHAl碼,或CRC(Cyclic Redundancy Check,循環(huán)冗余校驗) 碼等可唯一標識原程序的特征碼�����。
另一種使用文件防御規(guī)則在當前程序生成文件時進行文件防御的方式是主動防御系統在當前程序生成文件時�����,獲取生成的文件的文件路徑�;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標路徑是否匹配;若匹配�����,則獲取生成的文件���,判斷生成的文件是否在目標白名單中���;若生成的文件在目標白名單中����,且生成的文件的來源在來源白名單中���,則將生成的文件放行�。
優(yōu)選地��,當主動防御系統判斷生成的文件的文件路徑與文件防御規(guī)則中的目標路徑匹配時��,獲取生成的文件�,先判斷生成的文件是否符合預置的臨界文件規(guī)則,其中�����,臨界文件規(guī)則用于指示生成的文件為除白名單文件���、黑名單文件和可疑文件之外的文件����;若符合����,則判斷生成的文件的來源是否在來源白名單中;若是�,則將生成的文件放行;若否��,則進行報警提示����。臨界文件規(guī)則可以由本領域技術人員根據實際情況適當設置,如根據文件等級判斷生成的文件是否為灰名單文件等����,其中,灰名單文件可以是危險級別大于白名單文件��,但又小于可疑文件的文件���。但不限于此���,也可以將灰名單文件和可疑文件等均囊括入臨界文件中。在FD規(guī)則中放過了白來源(即來源白名單中的文件來源)的文件���,可以有效減少誤報���。如果該文件的來源是白的����,則可以直接放過��,運行其寫注冊表等����。
需要說明的是,本實施例中的服務器可以是部署于主動防御系統所在設備之外的后臺服務器��,如后臺云服務器��,但不限于此����,在硬件條件許可的情況下,該服務器也可以與主動防御系統合并設置����,即主動防御系統與服務器設置在一臺機器上。
通過本實施例�����,實現了 RD、FD的聯防��;并且��,將開機啟動程序的路徑加入FD規(guī)則�, 防止了惡意程序在主動防御系統開啟之前啟動突破主防��,提高了系統安全性���;此外��,在FD 規(guī)則中放過文件來源白名單中的文件�����,減少了誤報����。
實施例三
參照圖3�,示出了根據本發(fā)明實施例三的一種安全防御方法的步驟流程圖。
本實施例以HIPS的RD和FD聯合防御為例���,對本發(fā)明的安全防御方案作以說明����。 本實施例的方案包含了可以用于靜態(tài)掃描開機啟動項,加入FD規(guī)則�,以防止文件被篡改的內容。
本實施例的安全防御方法包括以下步驟
步驟S302 :主動防御系統獲取注冊表中開機啟動程序的注冊表項����,從中解析出開機啟動程序的路徑,將開機啟動程序的路徑加入FD規(guī)則�����。
例如����,主動防御系統可以在對開機啟動程序進行掃描時,獲取注冊表中開機啟動程序的注冊表項���,從中解析出開機啟動程序的路徑�����,進而將開機啟動程序的路徑加入FD規(guī)則���。
步驟S304 :系統開機啟動時���,使用FD規(guī)則進行文件防御。
本實施例中��,對于修改開機啟動的注冊表中的目標文件(如ImagePath指向的文件)的文件內容也會使用FD進行防護攔截�,防止木馬突破。
RD規(guī)則�����、FD規(guī)則和AD規(guī)則���,是通過TRAY下發(fā)給驅動的,其中TRAY規(guī)定了每個規(guī)則如何根據不同的行為定義攔截�,例如,當木馬寫入文件到一個文件路徑下�����,替換該路徑本身的文件(文件名不變)�,此時,主動防御系統的服務TRAY還未運行起來��,而此時木馬卻運行起來����,則主動防御系統無法進行攔截防護��。而通過將開機啟動程序的路徑加入FD規(guī)則中�����, 則很好地解決了這一問題����。
步驟S306 :當前程序向注冊表中寫入注冊表目標項�����。
本實施例中����,注冊表目標項為當前程序的注冊目標路徑。
注冊表中有一些值是文件的路徑�,這些路徑容易被木馬利用,例如��,RUN項��、服務中的imag印ath項等,都是容易被利用的可執(zhí)行程序的路徑����。
在注冊表防護中,有一些注冊表防御規(guī)則需要分析目標項��,比如新建的服務/驅動�����,需要把目標路徑寫入注冊表項
例如
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ffindows\CurrentVersion\Run �;其中,Run是注冊表中的鍵���;
HKEY_CURRENT_USER\Software\Microsoft\ffindows\CurrentVersion\Run ;
或者�,
HKEY_LOCAL_MACHINE\System\CurrentcontrolSet\Services\*\[ImagePath];其中���,ImagePath是一個值,對應服務/驅動的路徑��。
步驟S308 :主動防御系統確定當前程序寫入的注冊表目標項不存在�����。
如�����,主動防御系統確定注冊表目標項���,即當前程序寫入的目標路徑HKEY_L0CAL_ MACHINE\System\CurrentcontrolSet\Services\*\ [ImagePath]不存在�����。
本實施例中�����,如果寫入的目標路徑不存在�,主動防御系統此時是不會攔截的�,以免造成誤報,但為了避免不攔截而可能造成的漏報�����,可以在當前程序生成文件的時候再使用 FD進行攔截����。
步驟S310 :主動防御系統獲取寫入的目標項的數據,從中解析出當前程序待寫入的目標路徑。
步驟S312 :主動防御系統將當前程序待寫入的目標路徑加入FD規(guī)則�。
步驟S314 :當當前程序生成文件時,主動防御系統獲取生成的文件的文件路徑����。
步驟S316 :主動防御系統判斷該文件路徑與FD規(guī)則中的目標路徑是否匹配,若是���,則執(zhí)行步驟S318 ;若否�����,則按照設定策略進行處理��。
例如�����,RD運行起來后,會掃描注冊表啟動項目���,主要掃描的項目包括
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ffindows\CurrentVersion\Run ���;
HKEY_CURRENT_USER\Software\Microsoft\Windows\Cu;rrentVersion\Run。
若RD掃描完注冊表項目后,發(fā)現了木馬程序的文件路徑��,則會根據FD規(guī)則����,當該木馬程序修改文件時,主動防御系統會截獲到該文件���,避免開機時該木馬程序繞過主動防御的攔截��。
本步驟中�,設定策略可以由本領域技術人員根據實際情況適當設置����,如放行、提示�、或者使用AD進行防御等,本實施例對此不作限制���。
步驟S318 :主動防御系統獲取生成的文件����,判斷生成的文件是否符合預置的臨界文件規(guī)則�����,若是,則執(zhí)行步驟S320 ;若否�����,則按照設定策略進行處理��。
其中�,臨界文件規(guī)則用于指示生成的文件為除白名單文件、黑名單文件和可疑文件之外的文件���。
例如��,后臺預置的規(guī)則庫中保存有文件等級等信息�����,根據這些信息判斷文件是否是臨界文件�。文件等級包括“純白���、白”(稱為白),“灰��,灰白”(稱為灰),“低可疑�,高可疑” (可疑),“木馬”(黑)�,“未知”(沒有獲取到文件)等,文件等級的設置可以由本領域技術人員根據現有方式適當設置����,本實施例對此不作限制。
以臨界文件為“灰”等級的文件為例�����,當主動防御系統確定生成的文件的文件等級為灰時��,則認為該生成的文件符合預置的臨界文件規(guī)則�����,則執(zhí)行步驟S320�。
此外,本步驟中的設定策略也可以由本領域技術人員根據實際情況適當設置���,如放行�、提示��、或者使用AD進行防御等,本實施例對此不作限制����。
步驟S320 :主動防御系統判斷生成的文件的來源是否在來源白名單中,若是��,則將生成的文件 放行����;若否,則進行報警提示�,例如彈出報警提示框。
基于某些程序由于生成的文件沒有及時收入白名單中引起的誤報�,本實施例對FD 規(guī)則進行進一步修改,判斷文件的來源是否在來源白名單中���,以放過白進程鏈生成的文件��, 減少誤報�����。
與現有主動防御系統相比��,現有的主動防御系統對來源為白而目標為灰文件會攔截并彈出提示框�,造成如果目標沒有及時加入白名單仍然會誤報�����,而通過本實施例�����,可以將來源為白而目標為灰的文件放行����。
其中,概括來說��,來源一般指命中規(guī)則的進程����,目標即是被命中的規(guī)則;對于FD來源是指修改/創(chuàng)建文件的進程�����,目標是指被修改/創(chuàng)建的文件��;對于AD來源是進程創(chuàng)建者��, 目標是指被創(chuàng)建的進程;對于RD目標就是命中的注冊表項所對應的文件路徑�。
本實施例中,主動防御系統首先利用RD來防護���,針對先寫注冊表項���,后生成文件的程序,當這些程序先寫了注冊表項����,主動防御系統此時先不報警,將該程序的目標文件路徑加在FD規(guī)則中�����,后續(xù)利用FD防護���;當該程序的文件生成的時候��,直接獲取該文件��,查出文件等級�,進而進行相應處理,如報警等�����。需要說明的是��,對于那些先寫了文件的程序����,當主動防御系統檢測到寫入注冊表而文件等級存在時����,可以直接通過查文件等級進行等級報出。
通過本實施例�,對RD中需要分析目標項的規(guī)則(一般來說是文件路徑),如果目標不存在�����,那么使用FD規(guī)則進行防護�,在文件生成的時候攔截,達到RD和FD聯防的效果�;另外,主動防御系統在啟動的時候也會對注冊表中可以啟動的項目進行掃描并加入FD規(guī)則�����, 防止木馬在防護程序開啟之前啟動突破主防;并且�,在FD規(guī)則中放過了白來源的文件,減少了誤報��。
實施例四
參照圖4�,示出了根據本發(fā)明實施例四的一種安全防御裝置的結構框圖。
本實施例的安全防御裝置用于主動防御系統進行安全防御���,該裝置包括確定模塊402��,用于主動防御系統確定當前程序寫入的注冊表目標項不存在��;解析模塊404���,用于獲取目標項的數據,從中解析出當前程序待寫入的目標路徑���;文件防御模塊406��,用于將目標路徑加入文件防御規(guī)則��,使用文件防御規(guī)則在當前程序生成文件時進行文件防御����。
優(yōu)選地,解析模塊404����,還用于在對開機啟動程序進行掃描時,獲取注冊表中開機啟動程序的注冊表項��,從中解析出開機啟動程序的路徑�;文件防御模塊406,還用于將開機啟動程序的路徑加入文件防御規(guī)則�,使用文件防御規(guī)則在系統開機啟動時進行文件防御��。
優(yōu)選地����,文件防御模塊406,用于將目標路徑加入文件防御規(guī)則����,使主動防御系統在當前程序生成文件時,獲取生成的文件的文件路徑���;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標路徑是否匹配�����;若匹配�����,則獲取生成的文件的文件特征值���,將生成的文件的文件特征值發(fā)送到服務器進行程序安全性判定���;根據服務器的返回結果對當前程序進行文件防御處理。
優(yōu)選地����,文件防御模塊406,用于將目標路徑加入文件防御規(guī)則�,使主動防御系統在當前程序生成文件時,獲取生成的文件的文件路徑���;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標路徑是否匹配���;若匹配,則獲取生成的文件���,判斷所述生成的文件是否在目標白名單中��;若生成的文件在目標白名單中����,且所述生成的文件的來源在來源白名單中, 則將所述生成的文件放行�����。
優(yōu)選地�,文件防御模塊406,用于將目標路徑加入文件防御規(guī)則�,使主動防御系統在當前程序生成文件時,獲取生成的文件的文件路徑�;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標路徑是否匹配����;若匹配,則獲取生成的文件�,判斷生成的文件是否符合預置的臨界文件規(guī)則,其中�,臨界文件規(guī)則用于指示生成的文件為除白名單文件、黑名單文件和可疑文件之外的文件�;若符合�,則判斷生成的文件的來源是否在來源白名單中���;若是���,則將生成的文件放行;若否��,則進行報警提示��。
優(yōu)選地����,本實施例的安全防御裝置還包括注冊表防御模塊408,用于主動防御系統確定當前程序寫入的注冊表目標項是否符合注冊表防御規(guī)則����;若是,則使用注冊表防御規(guī)則進行注冊表防御�����,若否��,則進入確定模塊402執(zhí)行�。
本實施例的安全防御裝置用于實現前述多個方法實施例中相應的安全防御方法����, 并具有相應的方法實施例的有益效果�,在此不再贅述。
實施例五
參照圖5����,示出了根據本發(fā)明實施例五的一種安全防御系統的結構框圖。
本實施例的安全防御系統包括客戶端500和云安全服務器600�����。
其中�,客戶端500具有實施例四中所述的安全防御裝置,包括確定模塊502�,用于主動防御系統確定當前程序寫入的注冊表目標項不存在;解析模塊504��,用于獲取目標項的數據����,從中解析出當前程序待寫入的目標路徑����;文件防御模塊506�,用于將目標路徑加入文件防御規(guī)則�����,使主動防御系統在當前程序生成文件時��,獲取生成的文件的文件路徑���;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標路徑是否匹配����;若匹配��,則獲取生成的文件����,將生成的文件發(fā)送到云安全服務器600進行程序安全性判定;以及��,接收并根據云安全服務器600的返回結果對當前程序進行文件防御處理��。
云安全服務器600�,用于接收文件防御模塊506發(fā)送的生成的文件,根據設定的規(guī)則對生成的文件進行安全性判定��,并向客戶端返回判定結果。其中�����,設定的規(guī)則包括但不限于如前所述的文件等級規(guī)則����、黑白名單規(guī)則等等,本領域技術人員在實際使用中��,可以根據實際情況適當設置安全性判定規(guī)則���,本發(fā)明對此不作限制����。
優(yōu)選地���,解析模塊504��,還用于在對開機啟動程序進行掃描時��,獲取注冊表中開機啟動程序的注冊表項,從中解析出開機啟動程序的路徑���;文件防御模塊506�����,還用于將開機啟動程序的路徑加入文件防御規(guī)則�,使用文件防御規(guī)則在系統開機啟動時進行文件防御。
優(yōu)選地�����,文件防御模塊506�����,用于將目標路徑加入文件防御規(guī)則�,使主動防御系統在當前程序生成文件時,獲取生成的文件的文件路徑����;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標路徑是否匹配;若匹配�����,則獲取生成的文件的文件特征值,將生成的文件的文件特征值發(fā)送到云安全服務器600進行程序安全性判定���;以及����,接收并根據云安全服務器600的返回結果對當前程序進行文件防御處理��。
優(yōu)選地�����,文件防御模塊506�,用于將目標路徑加入文件防御規(guī)則,使主動防御系統在當前程序生成文件時��,獲取生成的文件的文件路徑��;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標路徑是否匹配�����;若匹配�����,則獲取生成的文件,判斷生成的文件是否在目標白名單中����;若生成的文件在目標白名單中���,且生成的文件的來源在來源白名單中�����,則將生成的文件放行����。
優(yōu)選地��,文件防御模塊506�,用于將目標路徑加入文件防御規(guī)則,使主動防御系統在當前程序生成文件時����,獲取生成的文件的文件路徑;判斷生成的文件的文件路徑與文件防御規(guī)則中的目標路徑是否匹配��;若匹配�,則獲取生成的文件,判斷生成的文件是否符合預置的臨界文件規(guī)則,其中��,臨界文件規(guī)則用于指示生成的文件為除白名單文件���、黑名單文件和可疑文件之外的文件��;若符合�����,則判斷生成的文件的來源是否在來源白名單中�����;若是���,則將生成的文件放行;若否��,則進行報警提示�����。
優(yōu)選地����,本實施例的客戶端500還包括注冊表防御模塊508,用于主動防御系統確定當前程序寫入的注冊表目標項是否符合注冊表防御規(guī)則����;若是�,則使用注冊表防御規(guī)則進行注冊表防御,若否����,則進入確定模塊502執(zhí)行��。
本實施例的安全防御系統用于實現前述多個方法實施例中相應的安全防御方法����, 并具有相應的方法實施例的有益效果,在此不再贅述���。
本發(fā)明針對先寫注冊表后生成文件的程序��,使用RD���、FD聯防的策略進行安全防御,解決了現有的安全防御方法無法對注冊表和/或文件的改動進行精確地防御���,以致漏報和誤報的情況時有發(fā)生的問題����,達到RD和FD聯防,減少漏報和誤報的效果���。
在此提供的安全防御方案不與任何特定計算機�、虛擬系統或者其它設備固有相關�����。各種通用系統也可以與基于在此的示教一起使用�����。根據上面的描述�����,構造具有本發(fā)明方案的系統所要求的結構是顯而易見的�����。此外�,本發(fā)明也不針對任何特定編程語言�。應當明白��,可以利用各種編程語言實現在此描述的本發(fā)明的內容�,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式。
在此處所提供的說明書中�����,說明了大量具體細節(jié)��。然而����,能夠理解�����,本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下實踐��。在一些實例中�,并未詳細示出公知的方法、結構和技術����,以便不模糊對本說明書的理解�。
類似地�����,應當理解�����,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個����,在上面對本發(fā)明的示例性實施例的描述中,本發(fā)明的各個特征有時被一起分組到單個實施例����、圖、或者對其的描述中��。然而����,并不應將該公開的方法解釋成反映如下意圖即所要求保護的本發(fā)明要求比在每個權利要求中所明確記載的特征更多的特征。更確切地說�����,如權利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個實施例的所有特征��。因此����,遵循具體實施方式
的權利要求書由此明確地并入該具體實施方式
,其中每個權利要求本身都作為本發(fā)明的單獨實施例���。
本領域那些技術人員可以理解����,可以對實施例中的設備中的模塊進行自適應性地改變并且把它們設置在與該實施例不同的一個或多個設備中��?�?梢园褜嵤├械哪K或單元或組件組合成一個模塊或單元或組件����,以及此外可以把它們分成多個子模塊或子單元或子組件����。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對本說明書(包括伴隨的權利要求�、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設備的所有過程或單元進行組合����。除非另外明確陳述��,本說明書(包括伴隨的權利要求�����、摘要和附圖)中公開的每個特征可以由提供相同����、等同或相似目的的替代特征來代替。
此外�����,本領域的技術人員能夠理解�����,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征�,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內并且形成不同的實施例。例如�,在權利要求書中,所要求保護的實施例的任意之一都可以以任意的組合方式來使用。
本發(fā)明的各個部件實施例可以以硬件實現���,或者以在一個或者多個處理器上運行的軟件模塊實現����,或者以它們的組合實現����。本領域的技術人員應當理解,可以在實踐中使用微處理器或者數字信號處理器(DSP)來實現根據本發(fā)明實施例的安全防御方案中的一些或者全部部件的一些或者全部功能����。本發(fā)明還可以實現為用于執(zhí)行這里所描述的方法的一部分或者全部的設備或者裝置程序(例如,計算機程序和計算機程序產品)�����。這樣的實現本發(fā)明的程序可以存儲在計算機可讀介質上��,或者可以具有一個或者多個信號的形式�����。這樣的信號可以從因特網網站上下載得到���,或者在載體信號上提供���,或者以任何其他形式提供。
應該注意的是上述實施例對本發(fā)明進行說明而不是對本發(fā)明進行限制�,并且本領域技術人員在不脫離所附權利要求的范圍的情況下可設計出替換實施例。在權利要求中�����, 不應將位于括號之間的任何參考符號構造成對權利要求的限制��。單詞“包含”不排除存在未列在權利要求中的元件或步驟����。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當編程的計算機來實現�。在列舉了若干裝置的單元權利要求中,這些裝置中的若干個可以是通過同一個硬件項來具體體現��。單詞第一���、第二�、以及第三等的使用不表示任何順序���?�?蓪⑦@些單詞解釋為名稱���。
權利要求
1.一種安全防御方法��,包括 主動防御系統確定當前程序寫入的注冊表目標項不存在�; 獲取所述目標項的數據���,從中解析出所述當前程序待寫入的目標路徑��; 將所述目標路徑加入文件防御規(guī)則����,使用所述文件防御規(guī)則在所述當前程序生成文件時進行文件防御����。
2.根據權利要求I所述的方法,其中���,所述方法還包括所述主動防御系統對開機啟動程序進行掃描時��,獲取所述注冊表中開機啟動程序的注冊表項���,從中解析出所述開機啟動程序的路徑; 將所述開機啟動程序的路徑加入所述文件防御規(guī)則��,使用所述文件防御規(guī)則在系統開機啟動時進行文件防御�����。
3.根據權利要求I所述的方法�����,其中�,所述使用所述文件防御規(guī)則在所述當前程序生成文件時進行文件防御的步驟包括 所述主動防御系統在所述當前程序生成文件時,獲取生成的文件的文件路徑���; 判斷所述生成的文件的文件路徑與所述文件防御規(guī)則中的目標路徑是否匹配����; 若匹配���,則獲取所述生成的文件的文件特征值�,將所述生成的文件的文件特征值發(fā)送到服務器進行程序安全性判定��; 根據所述服務器的返回結果對所述當前程序進行文件防御處理。
4.根據權利要求I所述的方法��,其中�����,所述使用所述文件防御規(guī)則在所述當前程序生成文件時進行文件防御的步驟包括 所述主動防御系統在所述當前程序生成文件時�,獲取生成的文件的文件路徑; 判斷所述生成的文件的文件路徑與所述文件防御規(guī)則中的目標路徑是否匹配�����; 若匹配�,則獲取所述生成的文件,判斷所述生成的文件是否在目標白名單中��; 若生成的文件在目標白名單中�,且所述生成的文件的來源在來源白名單中,則將所述生成的文件放行�����。
5.根據權利要求4所述的方法���,其中����,所述使用所述文件防御規(guī)則在所述當前程序生成文件時進行文件防御的步驟包括 判斷所述生成的文件是否符合預置的臨界文件規(guī)則,其中��,所述臨界文件規(guī)則用于指示所述生成的文件為除白名單文件�����、黑名單文件和可疑文件之外的文件�����; 若符合�����,則判斷所述生成的文件的來源是否在來源白名單中��; 若是��,則將所述生成的文件放行��;若否�����,則進行報警提示�����。
6.根據權利要求I所述的方法���,其中�,所述方法還包括 所述主動防御系統確定所述當前程序寫入的注冊表目標項是否符合注冊表防御規(guī)則�����; 若是��,則使用所述注冊表防御規(guī)則進行注冊表防御�,若否,則執(zhí)行所述主動防御系統確定當前程序寫入的注冊表目標項不存在的步驟�����。
7.一種安全防御裝置����,用于主動防御系統進行安全防御,包括 確定模塊,用于主動防御系統確定當前程序寫入的注冊表目標項不存在����; 解析模塊,用于獲取所述目標項的數據���,從中解析出所述當前程序待寫入的目標路徑�;文件防御模塊����,用于將所述目標路徑加入文件防御規(guī)則�,使用所述文件防御規(guī)則在所述當前程序生成文件時進行文件防御。
8.根據權利要求7所述的裝置����,其中, 所述解析模塊�����,還用于在所述主動防御系統對開機啟動程序進行掃描時�,獲取所述注冊表中開機啟動程序的注冊表項,從中解析出所述開機啟動程序的路徑���; 所述文件防御模塊�,還用于將所述開機啟動程序的路徑加入所述文件防御規(guī)則,使用所述文件防御規(guī)則在系統開機啟動時進行文件防御��。
9.根據權利要求7所述的裝置���,其中���,所述文件防御模塊,用于將所述目標路徑加入文件防御規(guī)則����,使所述主動防御系統在所述當前程序生成文件時,獲取生成的文件的文件路徑���;判斷所述生成的文件的文件路徑與所述文件防御規(guī)則中的目標路徑是否匹配�����;若匹配���,則獲取所述生成的文件的文件特征值,將所述生成的文件的文件特征值發(fā)送到服務器進行程序安全性判定�;根據所述服務器的返回結果對所述當前程序進行文件防御處理。
10.根據權利要求7所述的裝置,其中���,所述文件防御模塊����,用于將所述目標路徑加入文件防御規(guī)則��,使所述主動防御系統在所述當前程序生成文件時����,獲取生成的文件的文件路徑;判斷所述生成的文件的文件路徑與所述文件防御規(guī)則中的目標路徑是否匹配�;若匹配�,則獲取所述生成的文件,判斷所述生成的文件是否在目標白名單中�����;若生成的文件在目標白名單中����,且所述生成的文件的來源在來源白名單中,則將所述生成的文件放行��。
11.根據權利要求10所述的裝置,其中�����,所述文件防御模塊���,用于將所述目標路徑加入文件防御規(guī)則��,使所述主動防御系統在所述當前程序生成文件時�,獲取生成的文件的文件路徑���;判斷所述生成的文件的文件路徑與所述文件防御規(guī)則中的目標路徑是否匹配����;若匹配���,則獲取所述生成的文件�,判斷所述生成的文件是否符合預置的臨界文件規(guī)則����,其中,所述臨界文件規(guī)則用于指示所述生成的文件為除白名單文件�、黑名單文件和可疑文件之外的文件��;若符合���,則判斷所述生成的文件的來源是否在來源白名單中;若是�,則將所述生成的文件放行;若否���,則進行報警提示�����。
12.根據權利要求7所述的裝置�,其中��,所述裝置還包括 注冊表防御模塊�����,用于所述主動防御系統確定所述當前程序寫入的注冊表目標項是否符合注冊表防御規(guī)則���;若是,則使用所述注冊表防御規(guī)則進行注冊表防御�����,若否,則進入所述確定模塊執(zhí)行���。
13.—種安全防御系統,包括客戶端和云安全服務器���; 其中, 所述客戶端包括確定模塊��,用于主動防御系統確定當前程序寫入的注冊表目標項不存在�����;解析模塊����,用于獲取所述目標項的數據,從中解析出所述當前程序待寫入的目標路徑�����;文件防御模塊��,用于將所述目標路徑加入文件防御規(guī)則��,使所述主動防御系統在所述當前程序生成文件時,獲取生成的文件的文件路徑����;判斷所述生成的文件的文件路徑與所述文件防御規(guī)則中的目標路徑是否匹配;若匹配�,則獲取所述生成的文件,將所述生成的文件發(fā)送到云安全服務器進行程序安全性判定�����;以及����,接收并根據所述服務器的返回結果對所述當前程序進行文件防御處理; 所述云安全服務器����,用于接收所述文件防御模塊發(fā)送的所述生成的文件,根據設定的規(guī)則對所述生成的文件進行安全性判定���,并向所述客戶端返回判定結果�。
全文摘要
本發(fā)明提供了一種安全防御方法���、裝置與系統����,其中�����,安全防御方法包括主動防御系統確定當前程序寫入的注冊表目標項不存在��;獲取所述目標項的數據�,從中解析出所述當前程序待寫入的目標路徑;將所述目標路徑加入文件防御規(guī)則�����,使用所述文件防御規(guī)則在所述當前程序生成文件時進行文件防御����。通過本發(fā)明,達到RD和FD聯合進行防御����,減少漏報或誤報的效果。
文檔編號H04L29/08GK102984135SQ201210452190
公開日2013年3月20日 申請日期2012年11月12日 優(yōu)先權日2012年11月12日
發(fā)明者閆繼平, 張曉霖 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司